2013年01月24日 08時00分 公開
特集/連載

検出不可? Javaの脆弱性を突く「ファイルなしボット」ロシアで30万台以上が集団感染

ロシアで猛威をふるい、30万台以上の端末に感染したという「ファイルなしボット」。Javaの脆弱性を悪用する、ファイルなしボットの攻撃の手口を説明しよう。

[Robert Sheldon,TechTarget]

 Javaの脆弱性を突く、ファイルを持たないマルウェアに、ロシアのコンピュータが集団感染した。同種の攻撃がロシアだけで発生するとは限らず、Windowsマシンだけが標的になるとも限らない。

 仕組みは周知の通りだ。社内のエンドユーザーが感染サイトを閲覧し、知らないうちに最新型のマルウェアをダウンロードする。もしウイルス対策ソフトウェアがそれなりに機能していれば、ダウンロードを阻止するか、少なくともユーザーのHDDにある不正ファイルを検出、隔離してくれる。だがHDDに検出すべきファイルがなかったとしたら? もしもマルウェアがメモリだけに存在し、まさか破られるとは管理者もウイルス対策ソフトウェアもOSさえも思っていない、信頼すべきプロセスの下で実行されていたとしたら?

 2012年にロシアで発生したのは、まさにこうした事態だった。特異な種類のマルウェア、すなわちファイルを持たない「ファイルなしボット」に30万台以上のコンピュータが感染。このボット(インターネットを介して自動化されたタスクを実行できるソフトウェアロボット)は、誰にも邪魔されずに活動を続けた。

 数カ月たってロシアKaspersky Labが、珍しい種類のマルウェアがロシアのオンライン情報リソースを通じて増殖していると発表した。サードパーティー広告ネットワークのAdFoxからWebサイトへ配信した広告にJavaマルウェアが仕込まれており、サイバー犯罪集団が運営するダウンロード用サーバにブラウザのユーザーを誘導していた。

ファイルなしボットの仕組み

 ファイルなしボットは、以下の5つのステップで情報を盗み出す。

第1段階

 ユーザーが感染サイトを閲覧する。それ以外の動作は必要ない。ユーザーは、気付かないままサイバー犯罪者のサーバ(マスターサーバ)へリダイレクトされる。

第2段階

 マスターサーバが、暗号化されたDLLをユーザーのコンピュータのJavaプロセス(javaw.exe)に挿入する。javaw.exeは、マシンのメモリ内で実行される。また、このDLLは、Javaの周知の脆弱性を悪用する(これについては後述する)。

ITmedia マーケティング新着記事

news072.jpg

超リッチなイーロン・マスク氏の「言論の自由」は、あなたのそれと同じなのか?
Twitter買収の大義名分とされる「言論の自由」。しかし、同じことを語っているつもりでも...

news204.jpg

新卒の営業職が仕事をやりたくない時期、最多は「5月」 ―― RevComm調査
新卒営業社員は5月に最初の「壁」を感じるようです。

news069.jpg

「メタバース」でどうやってもうけるの? Meta(旧Facebook)が考える収益化への道
Metaの中核をなすメタバースプラットフォームのマネタイズ計画が明確になりつつある。高...